Grails数据绑定安全绕过漏洞

文章由LinuxBoy分享于2019-04-02 05:04:53热评（160）

发布日期：2012-10-31
更新日期：2012-11-03

受影响系统：
VMWare Grails 2.x
VMWare Grails 1.x
描述：
--------------------------------------------------------------------------------
CVE ID: CVE-2012-1833

Grails是一套用于快速Web应用开发的开源框架，它基于Groovy编程语言，并构建于Spring、Hibernate和其它标准Java框架之上，从而为大家带来一套能实现超高生产力的一站式框架。

Grails 1.3.7、2.0、2.0.1在执行数据绑定时存在错误，允许请求参数绑定到对象实例，而不提供属性名称的白名单或黑名单。攻击者可任意非法更新属性，导致绕过目标访问限制。

<*来源：vendor

链接：http://secunia.com/advisories/51113/
http://support.springsource.com/security/cve-2012-1833
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

SpringSource
------------
SpringSource已经为此发布了一个安全公告（cve-2012-1833）以及相应补丁，请更新到1.3.8及2.0.2:

cve-2012-1833：29 March 2012: CVE-2012-1833: Grails data binding vulnerability

链接：http://support.springsource.com/security/cve-2012-1833

推荐文章：